Gry w rozpoznawanie piłki i wykrywanie zabezpieczeń

Kiedy byłem młodszy, a drukowane gazety były bardziej powszechnym zakupem domowym, pamiętam z sentymentem, jak moja matka grała w grę zwaną "Spot the Ball". Dla tych z was, którzy nie są zaznajomieni z tym, składała się z fotografii niedawnego meczu piłki nożnej (soccer) z piłką usuniętą z obrazu, a celem było umieszczenie krzyżyka lub serii krzyżyków wskazujących, gdzie myślałeś, że piłka była. Nieuchronnie, gazeta będzie używać zdjęć, które obejmowały sportowców patrzących w różnych kierunkach, tak aby wyrzucać zawodników z tropu, wymagając w ten sposób niesamowitych poziomów dokładności, aby wygrać grę, w którą setki osób grają codziennie.

Skąd ta cała rozmowa o mało znanej grze? Cóż, gra przyszła mi na myśl pewnego dnia, kiedy przeglądałem dane dotyczące bezpieczeństwa, próbując znaleźć konkretny fragment informacji. Problem polegał na tym, że jest wiele sygnałów (jak na przykład gracze patrzący w złą stronę), które odwracały uwagę od tego, czego szukałem, a nawet gdy zacząłem powiększać ogólny obszar, ocena przestrzeni była trudna. W gazetowej grze Spot the Ball, regularni uczestnicy kupowali mały gumowy znaczek z dziesiątkami małych krzyżyków jako "rozwiązanie" tego problemu. To skłoniło mnie do zastanowienia się nad precyzją w cyberbezpieczeństwie.

Precyzja w bezpieczeństwie cybernetycznym

Kiedy mówimy o polowaniu na bezpieczeństwo z wykorzystaniem File Integrity Monitoring (FIM), łatwo jest uznać, że najlepszym podejściem jest 100% dokładność, ale rzeczywistość jest taka, że przy tak wielu niewiadomych, pogoń za 100% dokładnością jest złudnym zadaniem. Zamiast tego, nasz zasięg musi być wystarczająco szeroki, aby uchwycić to, co jest ważne, aby dać nam szansę na wygraną. Upewnienie się, że możemy dostrzec ogólny wzór jest ważne, abyśmy nie zaczęli polować na metaforyczną "piłkę" gdzieś, gdzie nie może się ona znajdować. Kiedy już tam jesteśmy, ważne jest, aby mieć również widoczne otaczające nas informacje. Jest to jeden z powodów, dla których File Integrity Monitoring pozostaje istotnym narzędziem bezpieczeństwa. Chociaż wielu będzie ubolewać nad brakiem bezpośrednich powiązań FIM z podatnościami bezpieczeństwa, problem z oczekiwaniem, że każde narzędzie do wykrywania podatności będzie w stanie wyłapać tylko jeden sygnał świadczący o kompromitacji, jest taki, że można szybko odrzucić dodatkowe wskazówki dotyczące wpływu ryzyka.

Na przykład, oprogramowanie ransomware nie jest ukierunkowane na konkretną zawartość plików, ale na powszechnie używane w biznesie typy plików, więc ochrona tylko "klejnotów koronnych" już nie wystarcza. To samo dotyczy filtrowania poczty elektronicznej, jak również innych ukierunkowanych mechanizmów obronnych. Pojedyncza złośliwa wiadomość lub złośliwy proces, który przeniknie przez te zabezpieczenia, może szybko się rozprzestrzenić, prowadząc do katastrofy na pełną skalę. Zamiast skupiać się na laserach, musimy malować nasze systemy obronne szerokimi pociągnięciami.

Wsłuchiwanie się w dane

Jak możemy pracować z metodami wykrywania o szerokim zakresie, a nie ściśle ukierunkowanymi? Inteligencja maszynowa to początek, ale powrót do podstaw ludzkiej inteligencji i wykrywania jest również ważny. Prezentowanie danych i wyróżnianie interesujących elementów umożliwia współpracę człowieka z maszyną. Dlatego ważne są szersze interfejsy użytkownika.

Ostatnio, wraz z klientami, tworzyłem wiele pulpitów nawigacyjnych i raportów, pokazując jak ogromne ilości danych można uprościć do postaci podsumowań, zapewniając jednocześnie sposoby na wyróżnienie nowych i interesujących zdarzeń w sieci. Techniki te, w połączeniu z możliwością zagłębiania się w szczegóły, oznaczają, że badacze bezpieczeństwa mogą za pomocą kilku kliknięć przejść od widoku z lotu ptaka na wiele globalnych sieci aż do pojedynczego pliku hash na pojedynczym serwerze, a następnie przekazać informacje współpracownikom za pomocą narzędzi do współpracy lub nawet przenieść część danych do innych narzędzi w celu przeprowadzenia inteligentnej analizy.

To wszystko skłoniło mnie do ponownego zastanowienia się nad inną grą, w którą ostatnio grałem. Miałem szczęście spędzać czas z coraz bystrzejszymi 4-5 latkami, którzy z radością dostrzegają różnice w łamigłówkach i Gdzie jest Wally (lub Gdzie jest Waldo dla tych z innych regionów). To naprawdę niesamowite widzieć, jak wcześnie nabywamy zdolność do szybkiej oceny dużych informacji i wybierania istotnych punktów zainteresowania.

W cyberbezpieczeństwie to właśnie tę umiejętność musimy w wielu przypadkach zacząć doskonalić. Częścią tego jest zapewnienie, że więcej naszych systemów jest dobrze udokumentowanych tak, że interesujące fragmenty są łatwiejsze do zidentyfikowania i oceny, jak również, że zespoły bezpieczeństwa są "dobrze zorientowane" z dobrym zrozumieniem całości, włączając w to sposób działania wszystkich naszych nowoczesnych, wieloskładnikowych architektur. Innym aspektem jest po prostu upewnienie się, że jesteśmy w stanie zobaczyć zarówno szerszy obraz, jak i szczegóły przez cały czas, umożliwiając w ten sposób łatwe poruszanie się pomiędzy nimi z jak najmniejszym tarciem.

Dla tych z was, którzy są zainteresowani w honing niektóre z tych umiejętności, skończę na zabawie throw-back do konkursu Pucharu Świata w 2014 roku. The New York Times wskrzesił grę Spot the Ball. Dzięki nowoczesnej technologii, możesz natychmiast zobaczyć, jak dobrze twoje przewidywania pasują do innych. Jeśli jesteś ciekawy procesów stojących za grą i niektórych analiz, możesz również przeczytać, jak została opracowana. Kto wie, może to pomoże Ci zainspirować się w Twoim polowaniu na zagrożenia!

Autor: CHRIS HUDSON